PANELDEBAT: NIS2-regulering skal styrke  cybersikkerheden – men for hvem? 

Af:

NIS2 er det andet forsøg fra EU’s side på at lave et net- og informationssikkerhedsdirektiv, der skal regulere cybersikkerheden indenfor fortrinsvis samfundskritiske sektorer. Forhandlingerne om teksten er afsluttet, og vi venter i realiteten alene på, at direktivet underskrives, så vi kan begynde at regne os frem til, hvornår de omfattede danske virksomheder skal leve op til kravene i reguleringen.  Det sker nemlig 21 måneder efter, at direktivet også er formelt færdigbehandlet i EU-systemet.  Det vil sige, at vi skal regne med et tidspunkt omkring sensommeren 2024. 

Af fagleder for cybersikkerhed og digital ansvarlighed Morten Rosted Vang, DI Digital


Det væsentligste indhold i NIS2 kan deles op i fire dele: 

  • Vi kender allerede nu 10 minimumskrav til it-sikkerheden, som virksomhederne skal leve op til i forhold til teknik, organisation, processer, kontrakter etc. 
  • Virksomhederne får en rapporteringsforpligtelse, hvis de oplever en væsentlig it-sikkerhedshændelse, der har forårsaget eller potentielt kan forårsage væsentlige driftsforstyrrelser, økonomiske tab etc. 
  • Der kommer krav til ledelsen i form af både øget ansvar og til besiddelse af cyberkompetencer, der kan sanktioneres med forbud mod at varetage ledelsesfunktioner i en afgrænset periode. 
  • Og så er der en række af sanktionsmuligheder, der ender med risiko for bøder på op til 2% af global omsætning eller 10 mio. euro. Organisationen kan også blive pålagt at offentliggøre manglende overholdelse af deres forpligtelser. 
  • Aktuelt er der en afdækning i gang indenfor de sektorer, som er nævnt direkte i NIS2-teksten, der skal præcisere hvilke virksomheder og organisationer i den enkelte sektor, der er omfattet. Det har ikke bare betydning for virksomhederne indenfor sektoren, men også for leverandører til de virksomheder, som er omfattet.  
Morten Rosted Vang, DI Digital
Foto: Hans Søndergård

Omfatter også leverandører 
Leverandører skal nemlig overholde kundens krav i NIS2 og være kontraktlig forpligtet til at overholde dem. Og selvom SMV’er med under 50 ansatte og en årlig omsætning på under 10 mio. euro ikke er omfattet direkte af NIS2, kan der blandt leverandørerne være SMV’er, der indirekte får reguleringen at mærke. 

Spørgsmålet er derfor, hvad skal danske SMV’er gøre nu i forhold til NIS2 – både dem med flere end 50 ansatte, men særligt dem, der potentielt er leverandører til virksomheder, der er omfattet af NIS2?

KRAV VIL BLIVE RELEVANTE, HVIS VIRKSOMHEDEN ER LEVERANDØR TIL EN OMFATTET KUNDE

NIS2 udvider markant de omfattede sektorer fra 7 til 18, derudover opdeler man virksomhederne i ”væsentlige” og ”vigtige” sektorer”, hvor den primære forskel består i omfang af tilsyn og bødeniveau. Men selv, hvis en virksomhed er undtaget på grund af sin størrelse, vil kravene alligevel blive relevante, hvis virksomheden er leverandør til en omfattet kunde. Vi ser i advokatbranchen i Danmark og internationalt i Bird & Bird, at kundernes krav til leverandørernes afdækning af kundernes egen regulatoriske compliance fylder mere og mere – både som et kvalitetsparameter, men også som hårde ufravigelige kontraktkrav. Det stiller høje krav til også mindre leverandørers indsigt i meget omfangsrig og kompleks regulering. Det ser vi allerede indenfor regulerede sektorer såsom energi, tele og finans og på tværs af brancher med GDPR. Jeg anbefaler, at SMVere allerede nu fokuserer på følgende fire områder i deres forberedelse på NIS2 compliance:

1. Bliver min virksomhed omfattet af NIS2?
2. Kortlægning af risikoanalyse og informationssystemsikkerhed – i egen virksomhed såvel som i sin forsyningskæde
3. Forankring af ansvar for og fokus på net og informationssikkerhed på ledelsesniveau
4. Bliver mine kunder omfattede af NIS2?

Julie Bak-Larsen, advokat og partner fra Bird & Bird

Derudover vil jeg anbefale, at der allerede nu laves en plan for NIS2 parathed. Det begynder vi så småt at se i Bird & Bird som et krav fra internationale investorer og regulerede kunder.

STÅ STÆRKT SOM UNDERLEVERANDØR TÆNK ALLEREDE NU PÅ CYBERSIKKERHED

Cybersikkerhed vil blive et konkurrenceparameter blandt virksomheder, der ønsker at levere tjenester til kritisk infrastruktur. Som del af NIS2 direktivet vil omfattede virksomheder blive pålagt at risikovurdere og stille krav til hele deres forsyningskæde. Hvis I som underleverandør ønsker at stå stærkt, skal i allerede nu begynde at tænke på cybersikkerhed, åbenhed og certificeringer af jeres processer og kontroller. Et godt sted at starte er Center for Cybersikkerheds 20 tekniske minimumskrav, hvilke vil sikre et godt fundament for jeres tekniske cybersikkerhedskontroller.

Som virksomhed underlagt NIS2 vil det være oplagt at bede sin forsyningskæde om revisionserklæringer på, at processer og kontroller er i orden. I kan som leverandør til kritiske virksomheder derfor allerede nu påbegynde arbejdet med at blive klar til en ISAE 3402 revision, således at I kan påvise overfor for jeres kunder, at I efterlever god skik indenfor cybersikkerhed. Ovenstående vil kræve en del arbejde, men vi ser allerede nu, at flere og flere virksomheder bruger revisionserklæringer som konkurrenceparametre, og det nye NIS2 direktiv vil kun sætte endnu mere skub i denne trend.

Frederik Stengaard Mehlsen, 
Technical Solution Manager, 
Fellowmind

DIN IT-SIKKERHED SKAL I SYSTEM – MEN HUSK AT SE PÅ FORANDRINGERNE!

Der bliver en hel del SMV’er, som bliver omfattet af NIS2. I forhold til NIS1 så er scopet bredere og en række underleverandører til f.eks. fødevarebranchen, medicinalindustrien, transportsektoren og forsyningsselskaberne vil få NIS2-compliance som et krav. I første omgang handler det om at få styr på sikkerheden på en struktureret og kontinuerlig måde. Der skal dokumenteres, at der er lavet en trusselsvurdering, at sårbarheder i virksomhedens informationssystemer er klarlagt og der laves en risikoproces, der kvantificerer de risici, som virksomheden har i forhold til cyperangreb, phishing, malware og evt. ransomwareangreb. 

En af de vigtigste processer at få implementeret er de løbende tests, tiltag, ændringer og opdateringer, eventuelt i form af et årshjul. Dette skal sammen med årlige interne audits garantere, at virksomheden til en hver tid er bedst muligt sikret mod de mest aktuelle cyberangreb. Mange af disse aktiviteter kan udføres og implementeres med en konsulent, der er NIS2-kyndig, naturligvis i samarbejde med ledelsen og virksomhedens aktører.

Det er naturligvis også vigtigt, at man får fokuseret på de forandringer, som der kan opstå i forbindelse med øget IT-sikkerhed. IT-sikkerhed vil altid skabe forandringer i en organisation, og har man ikke fokus på dem, så kan man risikere at sætte hele ens IT-sikkerhed over styr. Derfor er forandringsledelse vigtigt at medtage, når man skal være NIS2-compliant. 

Karsten Vandrup, IT-sikkerheds-
specialist og konsulent fra 
konsulenthuset ChangeGroup

HVAD SKAL DANSKE SMV’ER GØRE NU I FORHOLD TIL NIS2?

– både dem med flere end 50 ansatte, men særligt dem, der potentielt er leverandører til virksomheder, der er omfattet af NIS2?  Danske virksomheder forventes at skulle leve op til de nye krav i andet halvår 2024. Nogen undrer sig måske over ’postyret’ allerede nu. Men ser man på de krav, som virksomhederne skal leve op til, på de sanktionsmuligheder – bøder og ledelsesansvar – som kan ramme samt husker lidt tilbage på kampen for at blive GDPR-compliant, så tegner der sig et billede af, at det vil være rettidig omhu at komme i gang med arbejdet. Nu. 

NIS2-direktivet kommer på baggrund af erfaringer fra NIS1-direktivet samt et stort ønske om at styrke cybersikkerheden i EU både i bredden, med udpegning af yderligere sektorer, og i dybden, med nye krav til sektorerne. Målet er en helt nødvendig styrkelse af cybersikkerheden, men for mange vil det også betyde udfordringer og øgede udgifter at leve op til kravene. Selvom NIS2 primært berører større virksomheder, bliver mindre virksomheder også ramt, hvis de udgør digital infrastruktur og/eller har en kritisk betydning for samfundet. Det samme gælder mindre leverandører til de udvalgte sektorer, når de udvalgte sektorer begynder at stille krav til dem. 

I Industriens Fond har vi igangsat en kortlægning, der skal vise, hvilke organisationer, der er omfattet, samt give en vurdering af, hvor parate de er ift. kravene. Har de fx gennemført en risikoanalyse, har de et ledelsessystem til styring af informationssikkerhed, har de en plan for håndtering af hændelser osv. 

Malene Stidsen, programchef for Industriens Fonds Cybersikkerhedsprogram

Opgaven kræver et offentligt-privat samarbejde, og vi har derfor nedsat en følgegruppe med repræsentanter fra myndigheder og brancheorganisationer fra stort set alle berørte sektorer. Det skal også sikre, at vi kan handle på den viden, vi får. Information og vejledning til virksomhederne skal være så målrettet som mulig – og i så god tid, at man kan nå at blive klar.  Vi har de første resultater fra kortlægningen slut november og den endelige rapport i februar 2023. Indtil da kan vi kun opfordre virksomheder til at forholde sig til minimumskravene. Og man skal ikke kun lave en solid risikoanalyse, fordi ’EU siger det’, men fordi det handler om at passe på forretningen. 

Mest læste på BusinessReview.dk

1600px_COLOURBOX53565833--
Legal Tech gør det nemmere at have medarbejdere
annonce
Miljømærkning og klimakrav - bliver medicin også bæredygtig?
Damvig94614
Dansk 3D-print bliver svensk
Intro 2
Byg ledelsesudvikling på styrkerne
A50I6260
Læg frygten på hylden og del dine data

Læs også

Fotograf Sif Meinckewww.sifmeincke
Den generelle trussel fra cyberangreb i Danmark er meget høj 
Det samme er danske virksomheders kompetence til at levere løsninger, der kan beskytte samfundet, virksomheder og centrale institutioner. Så...
de-fem-storste-globale-risikoer-i-2024-og-2025 (1) copy_
Misinformation og cybersikkerhed er de største globale trusler
Over de næste to år vil AI-genereret misinformation være den største globale trussel skarpt forfulgt at cybersikkerhed. Det slår over...
Natasha-Friis-Saxberg-4-Storformat (1)
Cybersikkerhed er blevet et mange-hovedet monster
Der går ikke mange dage mellem, at man hører om en ny virksomhed eller branche, der har været udsat for et cyberangreb. Og det er måske...